Bueno amigos necesito trabajar con estas dos variables y tengo una pregunta sobre seguridad, q me inquieta mucho..

Mi código es el siguiente:

$IP = ($_SERVER['HTTP_X_FORWARDED_FOR'])
? $_SERVER['HTTP_X_FORWARDED_FOR']
: $_SERVER['REMOTE_ADDR'];
$db->query("UPDATE users SET ultimaaccion=unix_timestamp(), ultimaip='$IP' WHERE id='{$key}'");

Q toma la ip del usuario y la graba en la base de datos como referencia futura...

Bueno mi pregunta es : Estas variables pueden ser manipuladas para inyectar un código a la consulta? por ejemplo, para modificar la tabla users:

255.255.255', efectivo='1000', key='999

Esto puede resultar un problema grave de seguridad, he escuchado que se puede manipular con un addon de firefox pero necesito conocer la opinión de los expertos.

Toda respuesta es agradecida.